大规模JavaScript NPM攻击在加密生态系统中传播自我复制的恶意软件

广泛的JavaScript供应链漏洞已渗透到超过400个软件包，涉及多个行业，网络安全研究人员指出在加密货币相关基础设施中存在深度暴露。Aikido Security的发现揭示了一个令人担忧的模式：威胁行为者部署了Shai Hulud，这是一种复杂的自我复制恶意软件，旨在自主传播到开发者环境中并提取敏感凭据。

攻击范围与技术机制

该恶意软件的运作方式不同于以往的NPM供应链事件。它不是直接针对数字资产，而是作为一种凭据收集器，系统性地窃取钱包密钥、API令牌和认证秘密，从感染的开发系统中提取信息。每次检测都经过验证以排除误报，研究员Charlie Eriksen在社交媒体上的披露如此。

规模依然令人震惊。网络安全公司Wiz发现大约有25,000个被攻陷的仓库，涉及大约350个不同用户，每半小时就有1,000个新仓库感染。这种自主传播方式使得当前的威胁不同于9月早些时候的事件，当时攻击者手动提取了$50 百万加密货币，然后转移。

加密货币基础设施遭受攻击

至少有十个服务于区块链行业的软件包成为受害者，主要与以太坊名称服务（ENS）基础设施相关。受影响的生态系统包括广泛分布的库，例如：

• content-hash：每周大约36,000次下载
• address-encoder：每周超过37,500次下载
• ensjs、ens-validation、ethereum-ens、ens-contracts：全部被攻陷

除了ENS相关工具外，攻击还波及crypto-addr-codec，这是一个独立的加密工具，每周下载量接近35,000次。这些软件包作为数百个下游项目的基础依赖，扩大了开发社区的风险暴露。

更广泛的影响评估

此次漏洞不仅影响加密货币应用程序。值得注意的受害者还包括企业自动化平台如Zapier，某些受影响的软件包每周下载量超过40,000次。一些被攻陷的库报告每周下载量达150万次，暗示可能影响数千个终端应用。

Eriksen将此次事件的规模描述为“巨大”，调查工作仍在进行中，以确定完整的影响范围。安全研究人员的紧急建议是对使用npm基础设施的任何开发环境进行全面审计，并立即进行凭据轮换和供应链修复措施。